Threat Fabrics Mobile Threat Intelligence (MTI) team har varnat kryptovalutaanvändare för en ny variant av Crocodilus mobil malware, nu utrustad med en automatiserad seed-phrase-samlare.
'Crocodilus'-skadlig programvara stjäl fröfraser, riktar sig mot kryptovalutaanvändare globalt
SKRIVEN AV
DELA
Malware har parser för insamling av seed-fraser
Mobile Threat Intelligence (MTI) teamet på Threat Fabric har utfärdat en varning till kryptovalutaanvändare om en ny variant av mobil malware, Crocodilus, som nu inkluderar en automatiserad seed-phrase-samlare. Ursprunget identifierades i mars, och denna malware sägs nu utöka sin mållista från europeiska länder till att inkludera användare i Sydamerika.
I sitt senaste blogginlägg påstod MTI-teamet att den nya varianten av Crocodilus specifikt riktar sig mot kryptovaluta plånboksapplikationer. Det som gör denna variant särskilt oroande är dess ytterligare parser, som hjälper till att extrahera seed-frases och privata nycklar från specifika plånböcker.
Även om den fortfarande bygger på funktionsloggen för tillgänglighet som fanns i tidigare varianter, inkluderar den uppdaterade malware förbättrad förbearbetning av data loggad på skärmen. Denna förbättring gör det möjligt att extrahera data i ett specifikt format med reguljära uttryck innan det visas.
“I vårt tidigare blogginlägg om Crocodilus, betonade vi cyberskurkarnas intresse för kryptovalutaplånböcker eftersom de gjorde att offer öppnade plånboksapparna för att ytterligare stjäla den data som visas på skärmen,” förklarade teamet. “Med ytterligare parsering som sker på enhetssidan, får hotaktörer högkvalitativ förbearbetad data, redo att användas i bedrägliga operationer som kontoovertagande, riktat mot offrets kryptovalutatillgångar.”
Förutom den ytterligare parsern, har den uppdaterade malwaren en funktion som tillåter cyberkriminella att ändra kontaktlistan på en infekterad enhet. MTI-teamet misstänker att denna funktion gör det möjligt för angripare att lägga till ett telefonnummer under ett övertygande namn, såsom “Banksupport.” Denna kontakt kan sedan användas för att ringa offret och framstå som legitimt, vilket potentiellt kringgår bedrägeriförhindrande åtgärder som flaggar okända nummer.
Enligt MTI-teamet bedriver Crocodilus aktivt cyberkampanjer i Turkiet och Spanien, riktade mot användare av större banker och kryptovalutaplattformar. I Turkiet förklär den sig som ett onlinecasino och sprids genom skadliga annonser, där den överlappar falska inloggningssidor på finansiella applikationer.
I Spanien distribueras den som en falsk webbläsaruppdatering, som riktar sig mot nästan alla spanska banker. Mindre kampanjer har också upptäckts med globala mål, som påverkar applikationer i Argentina, Brasilien, USA, Indonesien och Indien, lade teamet till.
